强度密码! 你以为这样很安全吗?

（图／取自网路)

什么是好密码？几乎每一个网站都给出了差不多一样的标准：

长度得 8 位以上；需含大小写字母、数位及符号；不要用任何出现在字典里面的词。

只要你的密码满足了这些标准，基本上网站都会奖励你一个绿色的强式密码标示—好密码。但是实际上你和网站都错了。为什么？原因首先要从密码是如何被破解讲起。

骇客如何破解密码

网站是通过比对输入的密码与资料库中的密码来验证使用者的。但是一般这些密码都不是以明文的方式存放，而是用杂凑演算法对保存的密码进行单向加密，输出的结果是无法逆向工程出来的。比方说「123456」经过 SHA-1 杂凑演算法得出的结果是 7110eda4d09e062aa5e4a390b0a572ac0d2c0220，通过这个结果是无法知道原始密码的。

然后使用者登录时输入的密码也会被利用同样的杂凑演算法计算出杂凑值，再与存放在资料库中的正确密码杂凑值比对，一致则说明输入密码正确。

拿到杂凑密码档的骇客可利用暴力破解法比对哪个帐号与哪个密码相关。他们可以从简单一点的密码开始，这些密码可以从之前的攻击字典库查找，也可以从一般的字典上查找，然后进行单词组合。

现在的计算能力已经非常强大，用普通电脑结合显卡阵列的 GPU 能力，暴力破解法每秒钟可处理 10 亿到千亿用 SHA-1 演算法加密的密码。不过尽管如此，如果密码有 11、12 位或以上，并且完全是在所有可能的字元中随机生成出来的话，哪怕有这么强大的计算能力暴力破解法也是很难破解的。

但问题是大部分人都不是用随机生成的密码的。当然，大家不用随机密码也是有原因的，因为随机密码难记。可麻烦就麻烦在这里，因为那些「好密码」规则已经被骇客熟知。

建议用户採用所谓的「快速写词」法来设置密码，即用几个单词来组织成一个故事，从而构成密码组合。比方说，跑步时踩到一只松鼠，可以快速记忆为「running forest squirrel」。这种办法因为有故事情节所以方便记忆，但是由于所用字元数通常超过了 10 到 12 个，暴力破解法是很难破解的，除非破解者採用单词组合等其他技术。但是单词组合的可能性近乎无限，对于暴力破解来说差不多是无解的。

不过密码专家认为，相对于仅仅在密码设置上下功夫，更好的办法是广泛採用双因数认证的方式来确保安全，这样不安全的密码就不会成为抵御攻击的唯一屏障了。

【101创业大小事／整理报导】

免责声明：

部分图片、观点，来源于网际网路及其他网路平台，主要目的在于分享讯息，让更多人获得需要的资讯，其版权归原作者所有。如涉及侵权请告知，我们会在24小时内删除相关内容。